性能是唯一的问题吗?不能在整个用户 session 中使用https连接吗?显然发生的重定向减少了!
我在http vs. https performance上发现了这个相关问题
编辑:好的,我的意思不是“仅使用进行登录”。相反,我想问的是您是否到达站点上任何地方都需要HTTPS的位置(无论是登录还是付款),为什么不通过http与站点进行所有通信呢?
例如,假设一个博客站点。现在,可以通过发送电子邮件来创建博客文章。接下来,我可能会提供一个“登录”操作,然后提供一个“添加帖子”操作。在这种情况下,通常使用https的仅使用进行登录,然后使用常规的http实际添加帖子。因为现在需要提供一种“管理员”模式,可以这么说,为什么当一个人处于“管理员”模式(即登录)时不通过https进行所有通信。
最佳答案
性能不是唯一的问题。如果要使用HTTPS,则确实需要检查所有内容(包括第三方图像和库)是否可以通过HTTPS获得。否则,您将在IE上生成令人讨厌的混合内容消息:
http://blog.httpwatch.com/2009/04/23/fixing-the-ie-8-warning-do-you-want-to-view-only-the-webpage-content-that-was-delivered-securely/
这也意味着您需要为使用的每个主机名使用单独的SSL证书(例如images.example.com)或某种通配SSL证书(例如* .example.com)。
精心配置的站点只应使用HTTPS在客户端和服务器上遭受轻微的CPU破坏:
http://blog.httpwatch.com/2009/01/15/https-performance-tuning/
关于web-applications - 为什么https仅用于登录?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1361531/